La Corte di Giustizia UE, con sentenza del 03 aprile 2025, resa nella causa C‑710/23, si è pronunciata in ordine al necessario contemperamento del diritto di accesso del pubblico a documenti ufficiali e la tutela dei dati personali ivi inclusi.
Questo i principi di diritto espresso:
- L’articolo 4, punti 1 e 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), dev’essere interpretato nel senso che: la comunicazione del nome, del cognome, della firma e dei dati di contatto di una persona fisica che rappresenta una persona giuridica costituisce trattamento di dati personali. La circostanza che tale comunicazione sia effettuata al solo scopo di consentire l’identificazione della persona fisica autorizzata ad agire a nome di detta persona giuridica è, a tale riguardo, irrilevante.
- L’articolo 6, paragrafo 1, lettere c) ed e), del regolamento 2016/679, in combinato disposto con l’articolo 86 di tale regolamento, dev’essere interpretato nel senso che: esso non osta a una giurisprudenza nazionale secondo cui il titolare del trattamento, che è un’autorità pubblica incaricata di conciliare il diritto d’accesso del pubblico ai documenti ufficiali e il diritto alla protezione dei dati personali, è tenuto a informare e a consultare la persona fisica interessata prima della comunicazione dei documenti ufficiali che contengono tali dati, purché l’attuazione di un tale obbligo non sia impossibile o non richieda sforzi sproporzionati e, pertanto, non comporti restrizioni sproporzionate del diritto d’accesso del pubblico a detti documenti.
Nel caso di specie, il giudice del rinvio chiedeva alla Corte di Giustizia se l’art. 4, punti 1 e 2, del GDPR, dovessero essere interpretati nel senso che la comunicazione del nome, del cognome, della firma e dei dati di contatto di una persona fisica che rappresenta una persona giuridica, costituisca trattamento di dati personali, anche se tale comunicazione venisse effettuata al solo scopo di consentire l’identificazione della persona fisica autorizzata ad agire a nome di detta persona giuridica.
La Corte precisa preliminarmente che, ai sensi dell’art. 4, punto 1, del GDPR, per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Un’informazione riguarda una persona fisica identificata o identificabile qualora, in ragione del suo contenuto, della sua finalità o del suo effetto, essa sia connessa a una persona identificabile: le informazioni relative all’identità delle persone fisiche identificate o identificabili che, in quanto organo previsto per legge o membri di tale organo, hanno il potere di obbligare una società di fronte ai terzi, costituiscono dati personali, ai sensi dell’art. 4, punto 1, del GDPR.
La circostanza per cui tali informazioni si inseriscono nel contesto di un’attività professionale non è idonea a privarle della loro qualificazione come dati personali.
Ai sensi dell’art. 4, punto 2 GDPR, inoltre, precisa la Corte, per trattamento si intende qualsiasi operazione o insieme di operazioni applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione: dal testo di tale articolo non risulta quindi che il legislatore dell’Unione abbia inteso riservare la qualifica di trattamento a tali operazioni in funzione della loro finalità.
In base all’art. 6, par. 1, lett. e), il trattamento può definirsi lecito se e nella misura in cui è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento; il paragrafo 3 dello stesso articolo prevede poi che la base giuridica su cui si fonda il trattamento dei dati deve rispondere ad un obiettivo di interesse pubblico ed essere proporzionata all’obiettivo legittimo perseguito.
La Corte osserva poi che, in materia di accesso del pubblico ai documenti ufficiali, l’art. 86 del GDPR prevede che i dati personali contenuti in documenti ufficiali in possesso di un’autorità pubblica o di un organismo pubblico o privato per l’esecuzione di un compito svolto nell’interesse pubblico, possano essere comunicati da tale autorità o organismo conformemente al diritto dell’Unione o dello Stato membro, al fine di conciliare il diritto d’accesso del pubblico ai documenti ufficiali e il diritto alla protezione dei dati personali.
Nel caso di specie la legge n. 106/1999 (di diritto ceco), sul diritto di accesso ai documenti pubblici, obbliga le autorità pubbliche a comunicare informazioni, inclusi documenti ufficiali, alle persone che le richiedono, ma nel rispetto del GDPR; in aggiunta, la giurisprudenza nazionale ceca, enuncia però obblighi complementari, che si aggiungono a quelli espressamente previsti dal GDPR, come quello di informare e di consultare l’interessato prima di procedere a qualsiasi comunicazione di tali dati.
Riguardo alla compatibilità di una giurisprudenza nazionale con il GDPR, la Corte, espressamente interrogata sul punto dal giudice del rinvio, ritiene che gli Stati membri possono introdurre disposizioni specifiche per garantire un trattamento lecito e corretto in situazioni specifiche di trattamento, quali quelle di cui all’art. 86 GDPR: pertanto, tale giurisprudenza nazionale può far parte della base giuridica del trattamento dei dati, ai sensi dell’art. 6, par. 3, GDPR.
Il GDPR non osta quindi a una giurisprudenza nazionale che prevede un obbligo di informazione e di consultazione dell’interessato prima di qualsiasi comunicazione di dati personali che lo riguardino: un tale obbligo è infatti idoneo a garantire un trattamento lecito, corretto e trasparente nei confronti di tale soggetto, ai sensi dell’art. 5, par. 1, lett. a), GDPR, consentendogli di esprimere il suo parere riguardo alla comunicazione in questione.
Tuttavia, ricorda la Corte, un’attuazione assoluta di tale obbligo potrebbe dar luogo ad una restrizione sproporzionata del diritto d’accesso del pubblico ai documenti ufficiali: quando, per diverse ragioni, l’informazione dell’interessato si riveli impossibile o richieda sforzi sproporzionati, l’invocazione dell’impossibilità pratica di informare e di consultare tale soggetto per giustificare il rifiuto sistematico di qualsiasi comunicazione di informazioni relative a tale persona, potrebbe condurre all’esclusione di qualsiasi tentativo di conciliazione degli interessi in conflitto.
Tale conciliazione, avvisa la Corte, è espressamente prevista dall’art. 86 GDPR: nel caso di specie dunque, l’autorità pubblica sembrava aver basato la propria decisione di non comunicare l’insieme delle informazioni richieste su tale impossibilità pratica, senza avere tuttavia in alcun modo tentato di procedere alla conciliazione degli interessi.
